Oggi i virus fileless e le più gravi minacce alla cybersecurity sono in grado di celarsi all’interno del traffico Internet e delle normali attività online aziendali. Gli IOC (indicatori di compromissione) si perdono nel mare magnum delle migliaia di avvisi generati ogni giorno dagli attacchi di massa di basso livello e dagli eventi sospetti. In realtà, tutte queste segnalazioni si rivelano poi non pericolose, non a caso gli esperti della sicurezza lo chiamano rumore di fondo.
Questo è un problema serio perché, secondo un recente studio, i team di sicurezza aziendale possono gestire solo il 4% delle segnalazioni che ricevono. Inoltre, la stessa minaccia artefatta (ad esempio un e-mail di phishing o un file contenente virus) può essere innocua o pericolosa a seconda che si tratti di un evento isolato o sia parte di un attacco multifase.
Un’intelligence per gli attacchi di ultima generazione
I responsabili della sicurezza aziendale devono determinare quali di queste minacce siano realmente gravi e poi correlarle con altri IOC. Questo processo di analisi può richiedere giorni, ma anche settimane o mesi. I feed di dati sulle minacce, open source o commerciali, forniscono dei flussi di indicatori, utili per fermare gli attacchi di massa. Il problema è che, non fornendo una soluzione al problema della rilevazione di attacchi mirati, spesso peggiorano le cose, moltiplicando il numero di avvisi generati dal sistema SIEM (Security Information and Event Management) e dagli strumenti di monitoraggio, generando più confusione che informazione. I nuovi servizi di intelligence vanno ben oltre la minacce dei feed di dati e forniscono due ulteriori elementi chiave:
- Un flusso di dati relativi alle minacce che include non solo gli indicatori ma anche una più ampia analisi dei malware a essi legati
- Un portale di analisi che consente ai responsabili della sicurezza di analizzare gli indicatori e le minacce, osservarne i modelli e identificare gli attacchi complessi
Inoltre, alcuni servizi includono anche un meccanismo per diffondere rapidamente le informazioni sulle minacce confermate agli enforcement point come i firewall e i sistemi di monitoraggio.
I benefici delle analisi più sofisticate
I portali di threat intelligence analysis non sono una novità, ma fino a poco tempo fa erano disponibili solo per specifici gruppi di ricerca, fornitori, società di consulenza per la sicurezza informatica, grandi istituzioni finanziarie o agenzie governative che potevano permettersi di sviluppare e sostenere autonomamente il proprio portale. Questi nuovi servizi di intelligence per la cybersecurity sono basati su questi strumenti collaudati, ma sono disponibili per tutti i team di sicurezza aziendale. In alcuni casi, il fornitore di servizi offre una soluzione one-stop shopping che include non solo il portale di analisi, ma anche flussi di informazioni sulle minacce ottimizzarti e ulteriori integrazioni con i firewall e SIEM. In che modo questi nuovi servizi consentono alle aziende di rilevare e mitigare gli attacchi mirati? Gli esperti segnalano i benefici principali che i sistemi di analisi apportano alla sicurezza IT, aiutando a:
- comprendere la priorità delle varie minacce attraverso l’impiego di indicatori che rendono più facile focalizzare l’attenzione sulla tipologia di minacce più rilevanti a seconda dei settori specifici, delle applicazioni software o della tipologia di impresa
- identificare immediatamente le informazioni chiave, permettendo agli addetti alla sicurezza di concentrare le risorse investigative sugli elementi giusti grazie ad appositi cruscotti risolti anche nella parte di interaction design
- contestualizzare e analizzare le minacce, consentendo ai responsabili della sicurezza IT di correlare e analizzare minacce e indicatori, separando gli attacchi coordinati dagli eventi isolati
- intervenire con prontezza tramite una componente automatica di identificazione delle minacce che, tramite gli enforcement point e gli strumenti di monitoraggio permettono di ridurre drasticamente la finestra temporale sfruttabile dai cybercriminali per trovare e rubare informazioni riservate
